对于很多只依赖于cookie验证的网站来说，HttpOnly cookies是一个很好的解决方案，在支持HttpOnly cookies的浏览器中（IE6以上，FF3.0以上），javascript是无法读取和修改HttpOnly cookies，或许这样可让网站用户验证更加安全。

j2ee修复方案：

web.xml添加属性

In Tomcat 6 flag useHttpOnly=True in context.xml to force this behaviour for applications, including Tomcat-based frameworks like JBoss.

Servlet 3.0 (Java EE 6) introduced a standard way to configure HttpOnly attribute for the session cookie, this can be done by applying the following configuration in web.xml

<session-config> 

 <cookie-config>

 <http-only>true</http-only> 

 </cookie-config> 

<session-config>

2、apache修复方案：

漏洞原理和过程： 

 1.受害者中了跨站，浏览器发出携带超大cookies的包 

 2.服务器返回400错误，并会在response包里返回cookies内容 其中也包括httponly的。如图，xss0被设置为httpony依然显示出来 解决方案： 于是可以通过错误处理来屏蔽。 Apache官方提供4种错误处理方式 如下 In the event of a problem or error, Apachecan be configured to do one of four things, 

 1.output asimple hardcoded error message输出一个简单生硬的错误代码信息

 2.output acustomized message输出一段信息 

 3.redirect to alocalURL-pathto handle the problem/error转向一个本地的自定义页面 4.redirect to an externalURLto handle theproblem/error转向一个外部URL 经测试，对于400错误只有方法2有效，返回包不会再包含cookie内容 Apache配置： ErrorDocument400 " security test" 

 当然，升级apache到最新也可

• 深圳市一键一家网络科技有限公司官方网址：http://www.songhu9.com.cn
• QQ:316675593,电话号码:19807655856
• 业务范围：公司网站建设、管理软件研发、软件网站二次开发、400电话、电商平台研发、公众号研发！
• 免责申明：本站内容均来源于网络，版权归原创所有，如有任何版权方面的问题，请与我们联系处理！